Python检测PE所启用保护方式详解

000

Python 通过pywin32模块调用WindowsAPI接口,实现对特定进程加载模块的枚举输出并检测该PE程序模块所启用的保护方式,此处枚举输出的是当前正在运行进程所加载模块的DLL模块信息,需要用户传入进程PID才可实现输出。

  • 首先需要安装两个依赖包:
  • pip install pywin32
  • pip install pefile

然后再命令行模式下执行命令启动枚举功能。

# By: LyShark
import win32process
import win32api,win32con,win32gui
import os,pefile,argparse

def Banner():
    print(\"  _          ____  _                _    \")
    print(\" | |   _   _/ ___|| |__   __ _ _ __| | __\")
    print(\" | |  | | | \\___ \\| \'_ \\ / _` | \'__| |/ /\")
    print(\" | |__| |_| |___) | | | | (_| | |  |   < \")
    print(\" |_____\\__, |____/|_| |_|\\__,_|_|  |_|\\_\\\\\")
    print(\"       |___/                             \\n\")
    print(\"E-Mail: me@lyshark.com\")

def GetProcessModules(pid):
    ModuleList = []
    handle   = win32api.OpenProcess(win32con.PROCESS_ALL_ACCESS, False, pid )
    hModule  = win32process.EnumProcessModules(handle)
    for item in hModule:
        Module_Addr = hex(item)
        Module_Path = win32process.GetModuleFileNameEx(handle,item)
        Module_Name = os.path.basename(str(Module_Path))
        ModuleList.append([Module_Addr,Module_Name,Module_Path])
    win32api.CloseHandle(handle)
    return ModuleList

def CheckModulesProtect(ClassName):
    UNProtoModule = []
    if type(ClassName) is str:
        handle = win32gui.FindWindow(0,ClassName)
        threadpid, procpid = win32process.GetWindowThreadProcessId(handle)
        ProcessModule = GetProcessModules(int(procpid))
    else:
        ProcessModule = GetProcessModules(int(ClassName))
    print(\"-\" * 100)
    print(\"映像基址\\t\\t模块名称\\t基址随机化\\tDEP保护兼容\\t强制完整性\\tSEH异常保护\")
    # By: LyShark.com
    print(\"-\" * 100)

    for item in ProcessModule:
        pe = pefile.PE(item[2])
        DllFlage = pe.OPTIONAL_HEADER.DllCharacteristics
        print(\"%10s\"%(item[0]),end=\"\\t\")
        print(\"%21s\"%(item[1]),end=\"\\t\")

        # 随机基址 => hex(pe.OPTIONAL_HEADER.DllCharacteristics) & 0x40 == 0x40
        if( (DllFlage & 64)==64 ):
            print(\" True\",end=\"\\t\\t\") 
        else:
            print(\" False\",end=\"\\t\\t\")
            UNProtoModule.append(item[2])
        if( (DllFlage & 256)==256 ):
            print(\"True\",end=\"\\t\\t\")
        else:
            print(\"False\",end=\"\\t\\t\")
        if ( (DllFlage & 128)==128 ):
            print(\"True\",end=\"\\t\\t\")
        else:
            print(\"False\",end=\"\\t\\t\")
        if ( (DllFlage & 1024)==1024 ):
            print(\"False\",end=\"\\t\\t\\n\")
        else:
            print(\"True\",end=\"\\t\\t\\n\")
    
    print(\"-\" * 100)
    print(\"\\n[+] 总模块数: {} 可利用模块: {}\".format(len(ProcessModule),len(UNProtoModule)),end=\"\\n\\n\")
    for item in UNProtoModule:
        print(\"[-] {}\".format(item))
    print(\"-\" * 100)

if __name__ == \"__main__\":
    Banner()
    parser = argparse.ArgumentParser()
    parser.add_argument(\"-H\",\"--handle\",dest=\"handle\",help=\"指定一个正在运行的进程Handle\")
    parser.add_argument(\"-P\",\"--pid\",dest=\"pid\",help=\"指定一个正在运行的进程PID\")
    args = parser.parse_args()
    if args.handle or args.pid:
        if args.handle:
            CheckModulesProtect(str(args.handle))
        elif args.pid:
            CheckModulesProtect(int(args.pid))
    else:
        parser.print_help()

输出枚举效果如下:

Python检测PE所启用保护方式详解

© 版权声明
版权声明 1 本网站名称:偶像资源网
2 本站永久网址:https://www.ox520.com
3 本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长 QQ593098775进行删除处理。
4 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
THE END
Python
# 编程开发# python
喜欢就支持一下吧
点赞0 分享
网络的头像-偶像资源网
python多维列表总是只转为一维数组问题解决-偶像资源网
python多维列表总是只转为一维数组问题解决
python多维列表总是只转为一维数组问题解决
28天前 41
Python pyecharts 数据可视化模块的配置方法-偶像资源网
Python pyecharts 数据可视化模块的配置方法
Python pyecharts 数据可视化模块的配置方法
28天前 28
CSS 点击radio实现两个图片样式切换并且多个radio中只能有一个checked-偶像资源网
CSS 点击radio实现两个图片样式切换并且多个radio中只能有一个checked
CSS 点击radio实现两个图片样式切换并且多个radio中只能有一个checke...
31天前 4
jQuery实现滚动效果-偶像资源网
jQuery实现滚动效果
jQuery实现滚动效果
28天前 3
css文本两端对齐的实现代码-偶像资源网
css文本两端对齐的实现代码
css文本两端对齐的实现代码
31天前 2
PHP队列原理及基于队列的写文件案例-偶像资源网
PHP队列原理及基于队列的写文件案例
PHP队列原理及基于队列的写文件案例
28天前 2
相关推荐
python多维列表总是只转为一维数组问题解决-偶像资源网
python多维列表总是只转为一维数组问题解决
python多维列表总是只转为一维数组问题解决
28天前 41
Python pyecharts 数据可视化模块的配置方法-偶像资源网
Python pyecharts 数据可视化模块的配置方法
Python pyecharts 数据可视化模块的配置方法
28天前 28
吊打全网所有精美导航页引导页HTML源码-偶像资源网
吊打全网所有精美导航页引导页HTML源码
吊打全网所有精美导航页引导页HTML源码
32天前 24
css的基本选择器有哪些?-偶像资源网
css的基本选择器有哪些?
css的基本选择器有哪些?
32天前 23
5.9K⭐ 轻松搞定定时任务!Web管理超便捷-偶像资源网
5.9K⭐ 轻松搞定定时任务!Web管理超便捷
5.9K⭐ 轻松搞定定时任务!Web管理超便捷
32天前 23
CSS 点击radio实现两个图片样式切换并且多个radio中只能有一个checked-偶像资源网
CSS 点击radio实现两个图片样式切换并且多个radio中只能有一个checked
CSS 点击radio实现两个图片样式切换并且多个radio中只能有一个checked
31天前 4
评论 抢沙发

请登录后发表评论

    暂无评论内容